基于免疫算法的网络功能异构冗余部署方法

针对现有安全防御手段无法抵御网络功能虚拟化平台中众多未知的漏洞与后门的问题。运用拟态防御思想,提出一种网络功能虚拟化的拟态防御架构,并针对其中的异构体池构建问题设计了一种基于免疫算法的网络功能异构冗余部署方法。首先,结合熵值法对异构体之间的异构度进行量化评估;然后,以实现异构体之间异构度最大为优化目标将网络功能异构冗余部署问题构建成极大极小问题;最后,基于免疫算法快速求解最优部署方案。仿真结果表明,该方法可以迅速收敛到最优部署方案,并保证异构体之间的异构度值整体分布在较高的水平,有效增加了异构体池的多样性,提升了攻击者的攻击难度。     

拟态防御体系攻击检测研究与分析

网络空间拟态防御技术是一种采用动态异构冗余架构的新型主动防御技术,论述了基于拟态防御体系的攻击检测方法,能够检测定位漏洞并及时修复,完成从静态防御到动态防御的转变,提高对未知漏洞和后门攻击的防御能力。     

拟态安全信息系统测评方法及技术研究

信息系统在社会中发挥着重要的作用,面临的安全问题日益严重。传统信息安全防御技术主要基于已知攻击方法或漏洞进行防御,无法有效应对未知攻击的威胁,难以全面防护Web系统的安全,基于动态异构冗余架构为拟态安全信息系统提供了本质安全和内生安全。研究了拟态信息系统的架构特征,给出了拟态安全信息系统的测评方法,并对拟态属性的验证方法和技术进行了分析。     

软件定义网络下的拟态防御实现架构

针对传统防御技术难以应对未知漏洞和后门的问题,拟态安全防御（MSD,mimic security defense）通过构造动态异构冗余模型,提高系统的不确定性,增加攻击者的攻击难度和成本,提升网络安全性能。基于软件定义网络,提出了一种拟态防御的实现架构,首先,按照非相似余度准则构建异构冗余执行体,而后借助软件定义网络的集中管理控制实现动态选调和多模判决等功能。实验验证了架构的入侵容忍能力和可用性。     

基于异构冗余的拟态数据库模型设计与测试

数据库作为信息系统核心组件,存放着大量重要数据信息,易受到危害最大的SQL注入攻击.传统数据库防御手段需要攻击行为的特征等先验知识才能实施有效防御,具有静态、透明、缺乏多样性等缺陷.本文在此背景下,以拟态防御动态异构冗余原理为基础,使用保留字拟态化模块、指纹过滤模块、拟态化中间件模块实现SQL注入指令的指纹化、去指纹化、相似性判决,提出具有内生安全性的拟态数据库模型,并使用渗透测试演练系统DVWA中的SQL注入模块对该模型进行安全性测试,验证了拟态数据库模型的可用性和安全性.     

异构冗余系统的安全性分析

随着互联网技术的发展和普及,漏洞和后门已经成为导致网络安全问题的主要因素。冗余技术可以很好地解决系统的可靠性问题。受拟态防御思想的启发,分析了异构冗余技术对基于漏洞和后门的网络攻击进行安全防御的有效性。在一些假设前提下,以系统攻击成功率表征系统的安全性,建立了基于马尔科夫过程的异构冗余系统的安全性评估数学模型,给出了系统攻击成功率的表达式。最后对3模异构冗余系统进行了求解和分析,计算结果与直观预期相符。     

拟态通用运行环境的框架设计

为实现信息系统安全防御的目的,针对动态异构冗余(DHR)架构设计拟态通用运行环境(MCOE)框架。以拟态化改造后功能等价的异构冗余信息系统应用程序,以及异构化的信息系统运行环境设施为对象,为N异构执行体构建面向服务请求的资源调度、分发、执行、表决、安全威胁清洗恢复以及管理的自动化运行支撑环境,提供拟态产品的分发、表决统一集成接口规范。在该框架中,服务请求主键驱动的N个异构执行体和MCOE分发、内部表决、外部表决、协同执行、管理5个服务器交互运行。仿真结果表明,该设计可有效抵御软硬件后门和漏洞引发的网络攻击。     

拟态防御Web服务器设计与实现

Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护web服务器系统的安全.论文首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于“动态异构冗余”结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御web服务器,介绍了其架构,分析了拟态原理在web服务器上的实现.安全性和性能测试结果显示拟态防御web服务器能够在较小开销的前提下,防御测试中的全部攻击类型,说明拟态防御web服务器能够有效提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战.     

基于动态异构冗余机制的路由器拟态防御体系结构

路由器作为网络空间的基础核心要素,其安全性能对网络安全具有决定性意义。但由于它的封闭性、专用性和复杂性,导致其存在的漏洞更多,后门隐藏更深。目前对路由器的安全防御手段均为被动式“补漏洞、堵后门”的“亡羊补牢”式的防御,不仅防御滞后更无法应对未知的安全威胁。本文基于拟态防御技术,在路由器体系架构上引入异构冗余功能执行体,通过动态调度机制,随机选择多个异构执行体工作,在相同外部激励的情况下,通过比对多个异构功能执行体的输出结果,对功能执行体进行异常检测,实现路由系统的主动防御。实验结果表明,该架构可以明显提升攻击链中每一步攻击的实施难度,增加攻击成本,并能抵御基于未知漏洞与后门的攻击。     

面向拟态云的异构执行体安全调度算法

随着云服务的应用范围越来越广,基于未知漏洞或后门的攻击成为制约云技术发展的主要安全威胁之一。基于拟态防御建立的拟态云服务通过降低漏洞的持续性暴露概率来保障安全性,当前已有研究提出的拟态调度算法缺乏对执行体自身安全性的考虑,并且无法兼顾动态性和异构性。针对此问题文章通过引入执行池的异构度和安全度定义,提出一种基于异构度和安全度的优先级调度算法,并引入结合时间片的动态调度策略。实验结果表明,文章所提算法具有较好的动态性,能够获得较优的调度效果,实现了动态性、异构性和安全性之间的平衡,并且时间复杂度较低。     

远程分布式数据库动态图像信息检索系统设计

在社会日益多元化的今天,对于数据库的动态图像信息检索的性能要求也越来越严格。传统的图像信息检索系统存在检验图像完好率与检索图像准确率方面较差、检索的速度较慢等问题,已经不能满足当下人们对图像信息检索的需求,为此,提出了一种远程分布式数据库动态图像信息检索系统设计。首先根据远程分布式数据库的特点,设计出了动态图像的检索硬件系统框图;然后基于动态图像特征检索算法对软件进行了设计;最后进行了对比的实验。实验结果证明,该系统设计具有分布性广、通信良好以及稳健性较强的优点,检验图像完好率与检索图像准确率较高,速度较快,适应分布式的管理模式对机构进行控制,在经济上的性能也比较优越,可靠性与可用性较强,扩展性能极好,有益于多图像的共同检索。     

基于Web服务的信息安全虚拟实验系统的研究与实现

开发的信息安全虚拟实验平台采用虚拟主机技术在单台计算机上实现多台虚拟机网络攻击和防护的模拟，实验者可通过协议分析软件，实时观看分析攻击过程。教师和学生可通过Internet访问在线实验系统，进行实验创作和实验预习、在线自测。建立了私有UDDI注册中心，实现了Web Service的动态查询、调用及调用失败后的恢复，提高了实验系统的服务质量，实际运行情况良好。     

面向Web服务的动态可信性评估模型

网络化软件是由分布在互联网上多源异构的Web服务构成,但受其所处动态开放网络环境的影响,服务可信性处在不断变化之中.针对传统Web服务可信性难以适应动态评估的问题,提出了一种基于信息熵权重和带修正指标的动态信任评估模型（Dynamic Trustworthy Evaluation based on Information Entropy and Correction Metrics,DTEIECM）.首先,该模型充分挖掘模糊矩阵中的客观信息,利用信息熵对易受人为因素影响的主观权重进行修正.同时,考虑到所处运行环境对当前服务可信性的影响,增加了修正指标和受反馈影响的外部指标,以提高评估模型的自适应性.最后,通过对一个商务订单管理系统中的地图服务进行实例分析,结果表明DTMIECM模型在可信性度量中具有可行性,而且能够适应多变的环境并重新配置服务组合,有利于提高整个系统的可信度.     

异构数据库信息整合系统的测试技术研究

本文针对当今计算机最活跃的领域之一——异构数据库的研究与应用,以“异构数据库信息整合系统”为例,从软件测试的方法、过程、环境及用例等方面介绍异构数据库系统下的软件测试技术,以供测试人员参考。     

基于CORBA的异构数据库访问中间件的研究与实现

目前,中间件在解决异构平台的通信问题上的应用变得越来越多,针对同一单位不同部门之间信息要求共享,并且充分利用现有的数据库资源的需求,提出了一种基于XML技术和公共对象请求代理体系CORBA中间件技术的异构数据库中间件查询系统,该系统使用XML技术定义统一的命令请求格式,运用CORBA的分布式技术对异构数据库进行访问操作,模拟实验具有可移植、性价比高、易操作的特点,适合于中小型企业。     

基于PXI总线的导弹装备通用检测系统设计

针对某系列导弹的测试需求,设计了基于“PXI总线+测试适配器”的通用检测系统.通过对不同型号的导弹装备设计相应的适配器来实现系统的通用性,软件采用基于功能接口的结构和“测试任务句柄动态管理”的方法,智能故障诊断系统综合运用了专家系统、数据库等方法.实践应用表明该系统具有通用性强、操作方便、自动化程度高等特点.     

A graphical editor and process visualization system for man-machine interfaces of dynamic systems

The process visualization system of a manmachine interface is presented. It allows human operator(s) to interact with a dynamic technical system, here a thermal power plant. Also, a graphical editor for designing dynamic pictures of the process visualization system is explained. Both new systems have a common architecture and are based on the computer graphics standard PHIGS-2D with extensions for handling non-graphical and graphical information. The hierarchical information structures are manipulated with lists and pointers in a dynamic visual database. The two menu-driven interfaces for designers and for operators are described with their multi-window display layouts. The software of both systems is highly portable to different hardware and to other application domains.     

一种电力实时监控系统异构数据库访问方法

为了简化异构数据库的访问,提高上层应用程序的复用性和系统的可扩展性,本文介绍一种基于插件动态库的异构数据库访问方法。该方法通过公用中间动态库向应用程序提供动态访问数据库的统一接口,屏蔽数据库的类型差异,使得应用程序和异构数据库之间具有相互独立性,从而有效地解决电力实时监控系统中异构数据库透明高效的访问问题。该方法已在实际系统中得到了有效应用。